COVID-19跟踪應用程序“ COVID Kaya”洩漏數據

發現一個名為CoVID Kaya的旨在用作Covid-19案件跟踪平台的移動應用程序不安全。醫生和醫護人員使用該平台來跟踪菲律賓活躍的Covid-19病例。

研究人員在移動應用程序及其Web界面中發現了漏洞和安全漏洞。這些缺陷使潛在的不良行為者可以訪問衛生工作者的個人信息。此外,患者數據也可能已經公開。這項發現是由“公民實驗室”(The Citizen Lab)的研究人員完成的。

COVID Kaya平台於2020年夏季啟動,旨在使菲律賓的衛生工作者能夠立即訪問有關活躍的Covid-19病例的集體數據,並與該國衛生部協調該信息。 COVID Kaya同時具有iOS和Android版本,以及用於Web訪問的界面。

移動應用程序基於使用Cordova移植的代碼,Cordova是一種開發環境,可以將以Web為中心的應用程序導出到移動設備。

市民實驗室的研究人員在應用程序的兩個移動版本中發現了漏洞,這些漏洞可能使潛在的不良行為者訪問通常需要超級用戶登錄憑據的數據。研究人員在Android和基於Web的平台上報告了兩個安全漏洞,此漏洞已由COVID Kaya開發團隊修補。

Web安全漏洞允許未經授權訪問API端點,因此-無限制地訪問使用Kaya平台的數千名衛生工作者的姓名。 Android版本在使用硬編碼API憑據時存在問題,有效地允許潛在的不良行為者訪問患者的個人信息。

值得慶幸的是,The Citizen Labs報告的漏洞已得到修復,並且潛在的可利用憑據已被禁用。

這只是與Covid-19大流行相關的數據安全問題的另一個例子,在無數次利用全球形勢進行的網絡釣魚活動,欺詐,惡意軟件病毒和移動騙局之後。

November 17, 2020

發表評論